Foi lançada ontem à noite uma actualização de emergência para o Internet Explorer. Entre outras coisas, a Microsoft corrige uma vulnerabilidade que é conhecida desde dezembro e permite que um atacante remoto execute código em máquinas vulneráveis.
Com o boletim de segurança não programado MS13-008, a Microsoft corrige uma vulnerabilidade no Internet Explorer (IE), afetando as versões 6, 7 e 8 do navegador. Nos sistemas operacionais clientes Windows 7, Vista e XP, a atualização é considerada crítica.
O patch é, em última análise, uma extensão retroativa da atualização de segurança cumulativa do IE MS12-077. Os administradores, em particular, devem garantir que este patch foi instalado com antecedência, a fim de contornar problemas de compatibilidade.
No caso dos sistemas operacionais Windows server, há apenas um risco moderado, de acordo com a Microsoft. Os dois mais recentes Internet Explorer 9 e 10 são poupados da vulnerabilidade - no entanto, uma atualização para um desses navegadores Microsoft só é possível a partir do Windows Vista.
Com o patch, a Microsoft muda a forma como o Internet Explorer lida com objetos armazenados na memória. Isto porque podem ocorrer problemas de segurança se um objeto não estiver devidamente alocado na memória ou for subseqüentemente excluído.
Um atacante poderia explorar isto configurando um site que acesse os objetos correspondentes ou sua área de memória. Ele teria então que fazer o usuário visitar o site - por exemplo, com a ajuda de uma mensagem de spam.
Se o ataque fosse bem sucedido, ele seria então capaz de executar código arbitrário na máquina. Segundo a Microsoft, quanto mais altos forem os direitos do usuário atualmente conectado, maior será o perigo.
Quanto mais o usuário estiver conectado, maior será o perigo.